使用 AD 或 LDAP 同步
对应的官方文档地址
本文将帮助您使用目录连接器将您的 LDAP 或 Active Directory 服务中的用户和群组同步到您的 Bitwarden 组织。Bitwarden 为最受欢迎的 LDAP 目录服务器提供了内置连接器,这些目录服务器包括:
Microsoft Active Directory
Apache Directory Server (ApacheDS)
Apple Open Directory
Fedora Directory Server
Novell eDirectory
OpenDS
OpenLDAP
Sun Directory Server Enterprise Edition (DSEE)
任何通用 LDAP 目录服务器
连接到您的服务器
完成以下步骤,将目录连接器配置为使用 LDAP 或 Active Directory:
打开目录连接器桌面 App。
导航到 Setting 标签页。
从 Type 下拉列表中选择 Active Directory / LDAP。 此部分中的可用字段将根据您选择的类型而变化。
配置以下表格中的选项:
Server Hostname
目录服务器的主机名。
ad.example.com,
ldap.company.local
Server Port
目录服务器侦听的端口。
389 或 10389
Root Path
目录连接器应在其中启动所有查询的根路径。
cn=users,
dc=ad,
dc=example,
dc=com,
dc=ldap,
dc=company,
dc=org
This server uses Active Directory
如果服务器是活动目录服务器,则选中此框。
This server pages search results
如果服务器对搜索结果进行分页,请选中此框(仅 LDAP)。
This server uses an encrypted connection
选中此框将提示您选择以下选项之一:
Use SSL(LDAPS) - 如果您的 LDAPS 服务器使用不受信任的证书,则可以在此屏幕上配置证书选项。
Use TLS(STARTTLS) - 如果您的 LDAP 服务器使用 STARTTLS 的自签名证书,则可以在此屏幕上配置证书选项。
Username
应用程序在连接到目录服务器时,使用的管理用户的专有名称。对于 Active Directory,用户应该是内置管理员群组的成员。
Password
上面指定的用户的密码。此密码安全地存储在操作系统的本机凭据管理器中。
配置同步选项
完成配置后,请导航至 More 标签页,然后选择 Clear Sync Cache 按钮,以防止与先前的同步操作发生潜在冲突。有关更多信息,请参阅清除同步缓存。
完成以下步骤,以配置当使用目录连接器同步时的设置:
打开目录连接器桌面 App。
导航到 Setting 标签页。
在 Sync 部分,根据需要配置如下选项:
Interval
自动同步检查的时间间隔(分钟为单位)。
Remove disabled users during sync(不适用于 LDAP)
选中此框以从 Bitwarden 组织中删除已在您的组织中禁用的用户。
Overwrite existing organization users based on current sync settings
选中此框以始终执行完全同步,如果任何用户不在同步用户集中,则将其从 Bitwarden 组织中移除。
如果在启用此选项时出于任何原因运行了空同步,则目录连接器将移除所有用户。启用此选项以始终在同步之前运行测试同步。
More than 2000 users or groups are expected to sync
如果预计同步 2000 个以上用户或群组,请选中此框。如果不勾选此框,目录连接器会将同步限制在 2000 个用户或群组。
Member Attribute
目录用此属性名称来定义群组的成员资格(例如 uniqueMember)
Creation Date Attribute
目录用此属性名称来指定条目创建的时间(例如 whenCreated)
Revision Date Attribute
目录用此属性名称来指定条目上次的修改时间(例如 whenChanged)
If a user has no email address, combine a username prefix with a suffix value to form an email
选中此框可为没有电子邮箱地址的用户生成有效的电子邮箱选项。没有真实或没有生成电子邮箱地址的用户将被目录连接器跳过。
生成的电子邮箱 = Email Prefix Attribute + Email Suffix
Email Prefix Attribute
用于生成电子邮箱地址时创建前缀。
Email Suffix
用于生成电子邮箱地址时创建后缀的字符串( @example.com)。
Sync Users
选中此框以将用户同步到您的组织。
选中此框将允许您指定用户筛选器、用户路径、用户对象类以及用户电子邮箱属性。
User Filter
参阅指定同步筛选器。
User Path
与指定的根路径一起使用的属性,用于搜索用户(例如 ou=users)。如果未提供任何值,则子树搜索将从根路径开始。
User Object Class
用于 LDAP 用户对象类的名称(例如 user)。
User Email Attribute
用于加载用户电子邮箱地址时使用的属性。
Sync Groups
选中此框以将群组同步到您的组织。
选中此框将允许您指定群组筛选器、群组路径、群组对象类以及群组名称属性。
Group Filter
参阅指定同步筛选器。
Group Path
与指定的根路径一起使用的属性,用于搜索群组(例如 ou=groups)。如果未提供任何值,则子树搜索将从根路径开始。
Group Object Class
用于 LDAP 群组对象类的名称(例如 groupOfUniqueNames)。
Group Name Attribute
目录使用此属性名称来定义群组的名称(例如 name)
指定同步筛选器
用户和群组筛选器可以是任何 LDAP 兼容的搜索筛选器形式。
与标准 LDAP 指导相比,Active Directory 提供了一些用于编写搜索筛选器时使用的高级选项和限制。在此处了解有关编写 Active Directory 搜索筛选器的更多信息。
示例
要为具有包含 Marketing 的 cn(通用名称)以及具有 objectClass=user 的所有条目筛选同步:
(&(objectClass=user)(cn=*Marketing*)) (仅适用于 LDAP)要为具有
ou(组织单元)组件(他们的 dn(专有名词)是 Miami 或 Orlando)的所有条目筛选同步:
(|(ou:dn:=Miami)(ou:dn:=Orlando))(仅适用于 LDAP)要排除与表达式相匹配的条目,例如所有 ou=Chicago 但排除同样匹配 ou=Wrigleyville 的条目:
(&(ou:dn:=Chicago)(!(ou:dn:=Wrigleyville)))(仅适用于 AD)要为 Heroes 群组中的用户筛选同步:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf=cn=Heroes,ou=users,dc=company,dc=com)) (仅适用于 AD)要通过目录或嵌套为 Heroes 群组成员的用户筛选同步:
(&(objectCategory=Person)(sAMAccountName=*)(memberOf:1.2.840.113556.1.4.1941:=cn=Heroes,ou=users,dc=company,dc=com))测试同步
要测试目录连接器是否成功连接到您的目录并返回所需的用户和群组,导航到 Dashboard 标签页并选择 Test Now 按钮。如果成功,则用户和群组将根据指定的同步选项和筛选器显示在目录连接器窗口中:
启动自动同步
配置并测试同步选项和筛选器后,就可以开始同步了。完成以下步骤以使用目录连接器启动自动同步:
打开目录连接器桌面 App。
导航到 Dashboard 标签页。
在 Sync 部分选择 Start Now 按钮。 或者您可以选择 Sync Now 按钮以运行一次性手动同步。
如果您退出或关闭了目录连接器,自动同步将停止。最小化或隐藏此程序到系统托盘,以保持后台运行。
使用活动目录同步故障排除
Value limit reached when synchronizing from an Active Directory instance:(从 Active Directory 实例同步时达到值限制)
Active Directory MaxValRange 的默认设置为 1500。如果某个属性(如群组中的成员)的值超过 1500,Active Directory 将同时返回空白的成员属性和单独属性上成员的截断列表,最多可达到 MaxValRange 的值。
您可以调整
MaxValRange策略,使其值高于 Active Directory 中最大群组的成员数。请参阅 Microsoft 文档,了解如何使用 ntdsutll.exe 实用程序设置 Active Directory LDAP 策略。
最后更新于